Kalit so‘zlar:
SQLi, XSS,
web-ilovalar xavfsizligi, zaifliklar, ma’lumotlar
xavfsizligi, foydalanuvchi ma’lumotlarini himoya qilish.
Har qanday web-ilova tarmoqdan keladigan hujumlarga duchor bo‘ladi, bu
esa maxfiylik, autentifikatsiya, yaxlitlik va xavfsizlik bilan bog‘liq muammolarni
keltirib chiqaradi. Tajovuzkorlar web-ilovalardagi zaifliklardan ma’lumotlarni
yo‘qotish va zarar yetkazish maqsadida tizimga kirish uchun foydalanadilar. Shuni
yodda tutgan holda, web-ilovalarni himoya qilishda birinchi qadam tizimga xavfsiz
International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30
522
kirishni ta’minlash bo‘lishi kerak [1]. Xavfsiz login siyosati orqali ma’lumotlar
bazasida
to‘plangan
foydalanuvchi
parollarini
himoya
qilish
bilan
shug‘ullanadigan zamonaviy web-ilovalarda tobora muhim xavfsizlik muammosi
hisoblanadi. Foydalanuvchi parolini ochish uchun eng keng tarqalgan hujum SQLi
(SQL injection) va XSS (Cross-Site Scripting) sifatida tanilgan. XSS hujumi
asosan skriptlar ko‘rinishida berilgan foydalanuvchi ma’lumotlarini noto‘g‘ri
tozalash va tekshirish tufayli yuzaga keladi [2]. Cookie-fayllarni o‘g‘irlash yoki
seansni o‘g‘irlashning eng keng tarqalgan usuli brauzer tomonidan qo‘llab-
quvvatlanadigan HTML kodlash texnikasi bilan kodlangan JavaScript-ni
joylashtirishdir. XSS hujumlari uch turga bo‘linadi [3]: aks ettirilgan XSS,
saqlangan XSS va Document Object Model yoki DOM-ga asoslangan XSS
hujumi. Xuddi shunday, XSS hujumi raqib nomidan foydalanuvchi imtiyozlari
bilan operatsiyalarni amalga oshirish uchun foydalanuvchi sirlarini oshkor qilishda
foydalanuvchi brauzeri tomonidan JavaScript kabi bajariladigan koddan
foydalanadi. PHP da amalga oshiriladigan odatiy web-ilova 1-rasmda tasvirlangan.
1-rasm. Odatdagi web-ilova arxitekturasi (PHP tili uchun).
Masalan, tajovuzkor SQLi hujumi uchun satrlar (masalan, raqamlar, sanalar)
bo‘lmasligi kerak bo‘lgan o‘zgaruvchilardan foydalanishi mumkin. Bundan
tashqari, foydalanuvchi parolini aniqlash, mijoz va server o‘rtasidagi aloqani
ta’minlash uchun HTTPS dan foydalanmaydigan kompyuter, umumiy foydalanish
mashinalari va boshqalar kabi ishonchsiz mashinalardan foydalanuvchi tizimga
kirishi orqali amalga oshirilishi mumkin. Ushbu maqolada biz web-ilovaga xavfsiz
kirish usullari va usullarini ko‘rib chiqdik. Foydalanuvchi hisob ma’lumotlarini,
ayniqsa parollarni himoya qilishning ahamiyati, web dasturchilar va dastur
arxitektorlari(software architect) uchun qiyinchilik tug‘diradi. Ularni mavjud
vositalarning ijobiy va salbiy tomonlariga yaqinlashtirish uchun ushbu bo‘limda
foydalanuvchi ma’lumotlarini himoya qilish uchun mavjud usullar, texnikalar va
mexanizmlarni tahlil qilish mezonlarini aniqlashga harakat qilamiz. Ma’lumotlar
bazasiga asoslangan web-ilovalarda foydalanuvchi ma’lumotlarini himoya qilish,
bunday tizimda tegishli xavfsizlik darajasiga erishish uchun zarurdir.
A.
Ushbu yondashuvdan foydalangan holda, parol shifrlangan yoki xeshlangan
bo‘lishidan qat’i nazar, xizmatga kirish uchun tarmoq trafigida mavjud bo‘ladi,
garchi ular ma’lumotlar bazasida saqlangan bo‘lsada, agar MD5 va SHA-128
kabi zaif algoritmlardan foydalanilsa, tajovuzkorlar qo‘pol kuch hujumi orqali
International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30
523
parolni oddiy matnda qaytarib olish imkoniyatiga ega bo‘ladilar. Bundan
tashqari, DES, RC4 va Blowfish kabi shifrlash usullari shifrlash uchun
ishlatiladigan zaif kalitlarning tabiati tufayli zaif ekanligi isbotlangan.
Texnologiyaning rivojlanishi bilan murakkab hujumlar qo‘pol kuch hujumlari
uchun GPU chiplaridan foydalanadi, shuningdek, bunday tizim o‘ta xavfli
bo‘lib qolgan resurslarni ijaraga olish imkoniyatidan foydalanadi [4].
B.
Bir tomonlama shifrlash va xeshlash yondashuvini kengaytirish va yangi
xususiyatni qo‘shish foydalanuvchi hisob ma’lumotlarining xavfsizlik
darajasini oshiradi. Ushbu kengaytmalar bir martalik parollarni (OTP) joriy
etishda aks ettirilgan. Ular faqat bitta kirish seansi yoki tranzaksiya uchun amal
qiladi [5]. Ushbu tizimning afzalligi shundaki, algoritm har bir
foydalanuvchining tokenidan farq qiladi, bu esa tajovuzkorlar tomonidan
algoritmni buzishning oldini oladi. Xuddi shunday, ikki faktorli
autentifikatsiyadan foydalangan holda tashkilot mavjud autentifikatsiya
tizimidagi minimal o‘zgarishlar bilan tizimning xavfsizlik darajasini osongina
oshirishi mumkin. Shunday qilib, tajovuzkorlar maqsadga erishish uchun
qiyinroq qadamga duch kelishadi [6].
C.
Anis web-ilovalarga hujumning oldini olishga qaratilgan xavfsizlik siyosatidan
foydalanishni taklif qildi va natijada foydalanuvchi hisob ma’lumotlarining
oshkor etilishini oldini oldi [7].
D.
Segmentlangan himoya bilan foydalanuvchi hisob ma’lumotlarini himoya
qilish kuchli xesh algoritmlari yordamida parolni shifrlash va uni tasodifiy
yaratilgan tuz qiymatlari bilan o‘rashga asoslanganp [8].
Xeshlash funksiyalaridan foydalangan holda parolni himoyalashni baholash
uchun biz maʼlumotlar bazasini boshqarishning mashhur vositasi bo ʻlgan
phpMyAdmindan foydalanishni tanladik. Ushbu vosita parolni saqlash
mexanizmlarini va SHA-256, MD5 va BCrypt kabi turli xil parollarni xeshlash
funksiyalaridan foydalanishni amalga oshiradi. Qaysi usuldan foydalanilmasin,
parolni ochish vaqt masalasidir.
Xavfni minimallashtirish va hujumning oldini olish maqsadida SANS
instituti parolni xeshlash uchun 512 ostidagi SHA xeshlash mexanizmidan
foydalanmaslikni tavsiya qiladi, chunki ular tezkor xeshdir.
Yuqorida aytib o‘tilganidek, autentifikatsiya - bu shaxsni tekshirish jarayoni.
Noyob identifikator foydalanuvchi nomi yoki foydalanuvchi identifikatori bo‘lgan
foydalanuvchi bilan bog‘langan. An’anaga ko‘ra, foydalanuvchini autentifikatsiya
qilish uchun foydalanuvchi nomi va parol kombinatsiyasidan foydalanamiz.
Autentifikatsiya mantig‘i mahalliy darajada saqlanishi kerak, shuning uchun biz
uni mahalliy autentifikatsiya deb ataymiz. Mahalliy autentifikatsiyadan tashqari,
biz OpenID, Oauth va SAML dan ham autentifikatsiya provayderlari sifatida
foydalanishimiz mumkin. Quyida ushbu provayderlar bosqichma – bosqich
keltirilgan:
1.
Mahalliy autentifikatsiya- autentifikatsiya qilishning eng keng tarqalgan
usuli bu foydalanuvchi nomi va paroldan foydalanish hisoblanadi.
International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30
524
2.
OpenID - bu autentifikatsiya protokoli bo‘lib, u bizga mahalliy
autentifikatsiya tizimidan foydalanmasdan foydalanuvchilarni autentifikatsiya
qilish imkonini beradi.
3.
OAuth - bu bizning ilova foydalanuvchimizga provayderga kirish imkonini
beruvchi avtorizatsiya mexanizmi.
4.
Ko‘p faktorli autentifikatsiya- Foydalanuvchilarga odatda turli veb-saytlar
uchun turli xil parollarga ega bo‘lishlari yoki shaxsiy ma’lumotlarini himoya qilish
uchun parol menejerlaridan foydalanishni tavsiya etadi.
Xulosa
Ushbu sohadagi keyingi tadqiqotlar web-ilovalarga kirish uchun
ishlatiladigan ma’lumotlar bazalarida saqlanadigan parolni ko‘paytirishi mumkin
bo‘lgan yangi yondashuvlar va usullarni aniqlashga olib kelishi mumkin. Misol
uchun, turli xil xeshlash va shifrlash usullarini ko‘p qavatli bezovtalanish va tuz
qiymatlarini qo‘llash kombinatsiyasi bilan baholash bo‘yicha kengroq tadqiqot
foydalanuvchi hisob ma’lumotlarini himoya qilishning potentsial yangi
yo‘nalishlarini aniqlashi mumkin.
Do'stlaringiz bilan baham: |